Naujienlaiškis | 2024 Gegužė
Mieli skaitytojai,
su jumis sveikinasi gegužės mėnesio Kibernetinio saugumo ekspertų asociacijos naujienlaiškis. Malonaus skaitymo!
KSEA komanda
2024 pirmojo ketvirčio kibernetinės saugos tendencijos, grėsmės ir nauji pažeidžiamumai
Parengė KSEA Narys Vaitkevičius
Nauja tendencija: išpirkos reikalaujančios atakos kaip paslauga (angl. RaaS – Ransomware as a Service), kurių populiarumas šoktelėjo 2024 pirmajame ketvirtyje. Daugiausiai šioje srityje veikia tokios grupuotės kaip LockBit ir Black Basta. RaaS atveria galimybes mažiau techniškai išprususioms grupuotėms pasiekti niokojančių rezultatų.
Pirmajame šių metų ketvirtyje pasirodęs Confluence serverio pažeidžiamumas CVE-2024–24086 pridarė nemažai bėdų ir eilinį sykį priminė mums, koks svarbus yra savalaikis programinės įrangos atnaujinimų diegimas.
Androxgh0st Python kalba parašytas kenksmingas programinis kodas ir toliau taikėsi į Amazon ir Ofice365 debesų kompiuterijos sprendimus siekdamas pavogti jautrią konfigūracijos informaciją (.env bylos).
2024 pirmajame ketvirtyje publikuotas straipsnis apie naujo tipo ataką „Tunnel Vision“. Ši ataka nukreipta į šifruotus duomenų kanalus, per kuriuos interneto naudotojai jungiasi siekdami privatumo naršydami internete. Tai man-in-the-middle tipo ataka, kai naudotojo kompiuteriui, pasinaudojant DHCP serverio parinktimis, yra pateikiamas „teisingesnis“ maršrutas pasiekti internetą. Tokiu būdu nešifruotas naudotojo duomenų srautas keliauja pas hakerį, nors naudotojui atrodo, kad jo duomenys saugiai keliauja per VPN tunelį.
TOP 5 pažeidžiamumai, kuriuos sėkmingai išnaudojo įsilaužėlių grupės (angl. APT – advanced persistent threat):
CVE-2023-38831 (WinRAR)
CVE-2017-11882 (MS Office)
CVE-2014-0199 (MS Office)
CVE-2021-44228 (Apache Log4j)
CVE-2023-36884 (MS Office)
Ir dar šiek tiek apie 2024 pirmojo ketvirčio kibernetinės saugos aktualijas galite pasiskaityti čia:
Dėl Atvirojo kodo kibernetinės saugos ir egzistencinės krizės
2024 m. kovo 29 d. kibernetinio saugumo bendruomenę sukrėtė netikėtas radinys – kenkėjiškas kodas buvo aptiktas beveik visuose Linux OS leidimuose naudojamame „XZ Utils" pakete.
„XZ Utils” - tai atvirojo kodo programinis paketas, reikalingas norint be nuostolių glaudinti duomenis kone visose Unix ir kitose operacinėse sistemose, pavyzdžiui, Linux. Šis paketas taip pat dalyvauja užmezgant SSH sesiją ir naudojant OpenSSH paketą. 2024-03-29, Andres Freud, testuodamas naują „XZ Utils” paketo versiją, pastebėjo SSH sesijos paleidimo trukmės padidėjimą ir, kiek pasigilinęs, aptiko backdoor (t.y., slaptą prieigą, apie kurią žino tik jos kūrėjas) pakete „XZ Utils“ ir apie tai informavo Atvirojo kodo programų saugos (OSS) bendruomenę jų forume. Kitą dieną, 2024 m. kovo 30 d., „XZ Utils“ autorius Lasse Collin išleido paketo pataisymą, pašalinantį minėtąjį backdoor.
Kaip vėliau paaiškėjo, šio pažeidžiamumo atsiradimo kaltininkas yra JiaT75 (Jia Tan) pseudonimu GitHub užsiregistravęs asmuo. Jis jau 2021 metais pradėjo ruošti pamatus savo būsimam programos „patobulinimui“. Iš pradžių Jia Tan aktyviai prisidėjo prie „XZ Utils“ projekto ir taisė klaidas bei kitas įsisenėjusias problemas. Vėliau, pasinaudojamas padirbtomis anketomis, dalyvaujančiomis „XZ Utils“ paketo vystyme, Jia Tan pradėjo socialinės inžinerijos ataką: darė spaudimą paketo autoriui Lasse Collin, kad šis Jia Tan suteiktų daugiau teisių „XZ Utils“ projekte. Teisių suteikimas paketo autoriui leistų ne tik mažiau dirbti, bet ir ištaisyti senesnes problemas. Galiausiai Lasse Collins suteikė Jia Tan prašomas teises, įskaitant teisę skelbti naujas paketo versijas. Per ateinančius metus Jia Tan pasiruošė dirvą pažeidžiamumo integravimui ir paslėpimui „XZ Utils“ pakete. Jei kenksmingas programinis kodas nebūtų buvęs laiku pastebėtas, Jia Tan būtų turėjęs išskirtinę galimybę patekti į visus serverius, naudojančius OpenSSH ir „XZ Utils“ paketus.
Ši situacija parodo, kokios trapios gali būti atvirojo kodo paketais paremtos operacinės sistemos. Atvirojo kodo programų kūrėjus ištiko viduriniojo amžiaus krizė: jiems sunku neatsilikti ir suspėti tobulinti savo kūrinius. Tokios programinės įrangos kūrimas daugeliui jos kūrėjų yra labiau hobis, negu pagrindinė veiklos sritis. Iššūkis sėkmingai suderinti darbą ir pomėgius skatina laikytis nuomonės, jog apie produkto išlaikymą galėsime pagalvoti vėliau, svarbiausia - jį tiesiog sukurti. Deja, toks modelis nelabai kaip veikia: stinga ir lėšų, ir laiko būtiniems pakeitimams atlikti. Kartais autoriai net turi rinktis: ar stabdyti projektą, ar keisti jo licencijavimą į mokamą ar iš dalies mokamą.
Kone visos IT įmonės savo sprendimuose naudoja atvirojo kodo bibliotekas, tačiau reta kuri prisideda prie jų tobulinimo ar finansinės paramos. Kur kas įprasčiau prašyti klaidų pataisymų, plėtinių, ir spausti kūrėjus bei prižiūrėtojus dirbti be atlygio. Anot Bouyant kompanijos vadovo William Morgan atvirasis kodas tapo, kaip sako Bruce'as Perensas, „puikia įmonių gerovės programa“, kurios naudos gavėjai - Google, Microsoft, Amazon ir Apple - uždirba milijardus dolerių, sedėdamos ant atvirojo kodo pečių, o jo kūrėjai užsiima labdara ir už dyką dirba kodo prižiūrėtojais ir inžinieriais.
Dabartinis atvirojo kodo veikimo principas nebeveikia, jo pamatai pradėjo skilinėti. Norėdami ir toliau naudotis atvirojo kodo projektais, turime skirti jiems daugiau savo dėmesio. Ekspertai sutinka, kad atvirojo kodo fondų organizacijos, tokios kaip „Linux Foundation“ ir „Apache Software Foundation“, atliks pagrindinį vaidmenį stabilizuojant atvirojo kodo ateitį. Taip pat, atvirojo kodo programinės įrangos prižiūrėtojams reikės daugiau finansavimo ir naudotojų aktyvumo, kad išlaikytų savo projektus. Ypač to tikimasi iš organizacijų, kurių sprendimai remiasi atvirojo kodo projektais.
Klausimas pabaigai - ar jūs paremiate savo dažniausiai naudojamus nemokamus atvirojo kodo projektus? (pvz., Notepad++, Putty, Irfanview, VLC ir kt.) Ar įmonė, kurioje dirbate, prisideda prie atvirojo kodo projektų rėmimo?
Plačiau apie “XZ Utils” atgalinių durų atsiradimą ir įvykių chronologiją galite paskaityti:
Plačiau apie krizę su kuria susiduria Atvirojo kodo projektai ir bendruomenė galite paskaityt šiame straipsnyje: https://thenewstack.io/open-source-is-at-a-crossroads/
Daugiau apie Atvirojo kodo projektų kibernetini saugumą ir iniciatyvas jo gerinimui rašoma šiame straipsnyje: https://www.wilsoncenter.org/blog-post/how-secure-open-source-software-dilemma-xz-utils-backdoor
Dėl kibernetinės saugos mokymų
Manau visi žinote nemokamą (arba dalinai nemokamą) mokymosi platformą Coursera. Tačiau, jei neprenumeruojate jų naujienlaiškio, galėjote praleisti, kad praėjusią savaitę platformoje buvo papildytas Microsoft organizuojamų nemokamų kursų sąrašas.
Vieni iš mokymų yra tiesiogiai susiję su kibernetinės saugos pagrindais - Microsoft Cybersecurity Analyst Professional Certificate. Kurso apimtis nemaža - 6 mėnesiai po 10 val. per savaitę. Mokytis galite nemokamai, o oficialus sertifikatas kainuos papildomai.